Active Directory’de Organizasyon Birimleri (OU) ve Etki Alanı Sınırları

May 1, 2025
Active Directory /Azure
Organizasyon Birimleri (OU)

Active Directory (AD), kullanıcılar, bilgisayarlar ve diğer nesneleri yönetmek için hiyerarşik yapılar kullanır. Bu yapılar arasında Organizasyon Birimleri (OU) , Etki Alanları (Domain) , Ağaçlar (Tree) , Ormanlar (Forest) ve Siteler (Site) yer alır. Ancak bu bileşenlerden yalnızca OU’lar , tek bir etki alanı içinde kalırken, diğerleri birden fazla etki alanını kapsayabilir. Bu yazıda, neden OU’ların çoklu etki alanlarını içermediğini ve diğer yapıların bu sınırları nasıl aşabildiğini detaylıca açıklayacağız.

Organizasyon Birimleri (OU) Nedir?

OU’lar, bir etki alanı içindeki nesneleri (kullanıcılar, gruplar, bilgisayarlar, vb.) mantıksal olarak gruplamak için kullanılan yönetimsel birimlerdir . Temel işlevleri şunlardır:

  • Yönetimsel Kontrol Devretme (Delegation): Belirli OU’larda yönetici izinleri devredilebilir.
  • Grup Politikası (GPO) Uygulama: OU düzeyinde GPO’lar uygulanarak politikalar merkezi olarak yönetilir.
  • Nesne Yönetimi: Nesneleri kategorilere ayırarak yönetim kolaylığı sağlar (örneğin, Satış, BT, Muhasebe gibi OU’lar).

Örnek:

  • example.com etki alanında:
    • OU=Satış → Satış departmanına ait kullanıcılar ve bilgisayarlar.
    • OU=BT → BT ekibine ait nesneler.

 OU’lar Neden Birden Fazla Etki Alanını Kapsayamaz?

OU’lar, etki alanı sınırları içinde oluşturulur ve yalnızca o etki alanına ait nesneleri içerebilir. Bu sınırların nedenleri şunlardır:

A. Etki Alanı, AD’nin Temel Yapısıdır

  • Her etki alanı, kendi dizin bölümüne (directory partition) sahiptir.
  • OU’lar, bu bölümün bir parçası olduğundan, başka bir etki alanının dizin bölümüne erişemez.

B. Yönetim ve Güvenlik Sınırlılıkları

  • OU’lar, tek bir etki alanı içinde yönetim kontrolü sağlar.
  • Farklı etki alanlarından gelen nesneleri tek bir OU’da toplamak, güvenlik riskleri ve yönetim karmaşıklığı yaratır.

C. Grup Politikası (GPO) Uygulama Kapsamı

  • GPO’lar, OU düzeyinde uygulandığında yalnızca o etki alanındaki nesneleri etkiler.
  • Farklı etki alanlarına GPO uygulamak için etki alanları arası güven (trust) ve farklı yapılandırmalar gereklidir.

Diğer Bileşenler Nasıl Çoklu Etki Alanlarını Kapsar?

Bileşen
Çoklu Etki Alanı Desteği
Açıklama
Site
✅ Evet
Fiziksel konumları temsil eder. Birden fazla etki alanına aitetki alanı denetleyicilerini (DC)içerebilir. Örneğin, İstanbul ve Ankara siteleri, her iki şehirdeki tüm DC’leri kapsar.
Tree
✅ Evet
Bitişik DNS ad alanlarını paylaşan etki alanlarının hiyerarşisidir. Örneğin:example.com(ana etki alanı),sales.example.com(alt etki alanı).
Forest
✅ Evet
Birden fazla etki alanı ağacını veya tek başına etki alanlarını içeren en kapsamlı yapıdır. Tüm etki alanları,ortak şema (schema)veglobal katalog

 

Örnek Senaryo:

  • Orman: forest.example.com
    • Ağaç 1: example.com (ana etki alanı)
    • Ağaç 2: partner.org (bağımsız DNS adı, farklı ağaç)
  • Bu orman, iki farklı ağaçtaki tüm etki alanlarını kapsar.

OU’lar İçin Alternatif Yaklaşımlar

Eğer farklı etki alanlarındaki nesneleri ortak bir yapı altında yönetmek istiyorsanız, aşağıdaki yöntemleri kullanabilirsiniz:

Güven (Trust) Kurulumu ve Erişim Paylaşımı

  • Farklı etki alanları arasında etki alanları arası güven kurarak kaynaklara erişim sağlayabilirsiniz.
  • Örneğin, sales.example.com etki alanındaki bir kullanıcı, marketing.example.com etki alanındaki bir dosya paylaşımına erişebilir.

Grup Politikalarını Farklı Etki Alanlarında Benzer Şekilde Uygulamak

  • Aynı yapıyı farklı etki alanlarında tekrarlamak için:
    • Her etki alanında benzer OU yapıları oluşturun (örneğin, OU=Satış her etki alanında).
    • Aynı GPO’ları bu OU’lara uygulayın.

Orman Köküne Global Gruplar Oluşturmak

  • Orman kökünde global gruplar oluşturarak farklı etki alanlarından kullanıcıları ekleyebilirsiniz.
  • Bu gruplara kaynak erişimi verebilirsiniz (örneğin, paylaşılan bir SharePoint sitesi).
Soru
Çözüm
Farklı Etki Alanındaki Bir Kullanıcıya OU Düzeyinde Erişim Verilebilir Mi?
Hayır. OU’lar etki alanı sınırlarını aşamaz. Bunun yerineetki alanları arası güvenveglobal gruplarkullanın.
Aynı OU Yapısını Farklı Etki Alanlarında Nasıl Oluşturabilirim?
Her etki alanında aynı OU adlarını ve GPO’ları tekrarlayın. Otomasyon için PowerShell betikleri kullanabilirsiniz.
Birden Fazla Etki Alanını Tek Bir GPO ile Yönetebilir Miyim?
Hayır. GPO’lar etki alanı düzeyindedir. Bunun yerineMicrosoft Endpoint Manager (Intune)gibi merkezi yönetim araçlarını kullanın.

organizasyon birimleri (OU), Active Directory’de tek bir etki alanı içinde nesneleri yönetmek için güçlü bir yapıdır. Ancak etki alanı sınırlarını aşamaz çünkü her etki alanı kendi dizin bölümünü ve yönetim yapısını taşır. Farklı etki alanları arasında yönetim veya erişim ihtiyacınız varsa, etki alanları arası güven , global gruplar veya orman (forest) yapıları gibi alternatif yöntemleri kullanmanız gerekir. Farklı etki alanlarında benzer OU yapıları oluşturmak için PowerShell betikleriyle otomasyon sağlayın ve Get-ADOrganizationalUnit komutuyla yapılandırmaları kontrol edin.